Breaking Update
اعلام نظر درباره رضایت در قوانین حفاظت از حریم خصوصی
سازمان حفاظت از حریم خصوصی اسرائیل بیانیهای درباره رضایت در قانون حریم خصوصی صادر کرد و تفسیر خود از رضایت معتبر در عصر دیجیتال را تشریح نمود.
اصل رضایت، اصلی محوری در قانون حریم خصوصی اسرائیل است. بر اساس این اصل، در غیاب مجوز، تعرض به حریم خصوصی فرد تنها با رضایت او و صرفاً در شرایطی که توانایی تصمیمگیری در مورد افشای اطلاعات مربوط به خود، به چه کسی و برای چه اهدافی را داشته باشد، امکانپذیر است. رضایت همچنین بیانگر توانایی فرد در کنترل اطلاعات مربوط به خود است. در این افشای موضع، مرجع حفاظت از حریم خصوصی، موضع خود را در خصوص اعمال اصل در پرتو واقعیت دیجیتال در حال تحول و همچنین در خصوص قابلیت اعمال قانون حفاظت از حریم خصوصی، مصوب ۱۹۸۱، ارائه و روشن میسازد.
این افشای موضع، تفسیر حقوقی را منعکس میکند که مرجع هنگام و به منظور اعمال اختیارات مختلفی که طبق قانون به آن سپرده شده است، از جمله نظارت بر رعایت مفاد قانون و مقررات ذیل آن، ثبت پایگاه داده در دفتر ثبت پایگاههای اطلاعاتی، از جمله لغو یا تعلیق ثبت موجود، و اعمال جریمه اداری یا مجازات مالی برای نقض مفاد قانون، از آن استفاده خواهد کرد.
این افشای موضع به این موضوع نمیپردازد که چه زمانی و تحت چه شرایطی الزام به درخواست رضایت فرد صاحب داده برای تعرض به حریم خصوصی اعمال میشود، بلکه تفسیر مرجع را در خصوص پرسشهایی مبنی بر اینکه چه چیزی رضایت معتبر را تحت قوانین حفاظت از حریم خصوصی تشکیل میدهد و قواعدی که چنین رضایتی باید بر اساس آنها اخذ شود، ارائه میدهد.
در زیر نکات اصلی این افشای موضع آورده شده است:
محتوای درخواست رضایت آگاهانه و نحوه ارائه آن:
رضایت به تعرض به حریم خصوصی، چه صریح و چه ضمنی (یعنی به طور ضمنی)، باید آگاهانه باشد. بنابراین، درخواستکننده رضایت باید به گونهای عمل کند که اطمینان حاصل شود فرد صاحب داده از محتوای درخواست، اهداف آن و پیامدهای رضایت یا امتناع او از درخواست آگاه است.
این افشای موضع روشن میسازد که رعایت الزام رضایت «آگاهانه» نه تنها در رابطه با نوع و دامنه دادههای ارائه شده به فرد صاحب داده برای رضایت او، بلکه در رابطه با نحوه ارائه آن نیز مورد بررسی قرار میگیرد. رضایتی که بدون داشتن فرصت معقول برای درک معنای رضایت و پیامدهای آن داده شود، رضایت معتبر تلقی نخواهد شد. بنابراین، باید مراقب بود که محتوای رضایت و اطلاعات همراه آن به صورت واضح، قابل دسترس، ساده و قابل فهم ارائه شود. در این زمینه باید توجه ویژهای به جمعیتهای خاص، مانند افراد دارای معلولیت، مبذول داشت.
در شرایطی که عدم توازن قدرت بین طرفین وجود دارد، یا هنگام برخورد با اقدامی که پتانسیل تعرض شدید به حریم خصوصی را دارد، یا در سایر شرایط پیچیده (مانند استفاده از فناوری جدید که پیامدهای آن به اندازه کافی روشن نیست) – این الزام باید یک الزام تشدید شده تلقی شود و درخواستکننده رضایت باید اطمینان حاصل کند که تمام دادههای مرتبط برای تصمیمگیری را به صورت برجسته و ساده، و تا حد امکان جدا از سایر اجزای معامله، ارائه دهد. عدم وجود جزئیات کافی در فرآیند رضایت ممکن است منجر به نقض اعتبار رضایت شود.
در مواردی که یک سرویس درخواست جمعآوری اطلاعات برای اهداف مختلفی را دارد که به طور قابل توجهی با هدف اصلی معامله متفاوت است، این موضوع باید به صورت واضح و برجسته هنگام ارائه اهداف استفاده، تا حد امکان جدا از سایر اجزای معامله، قبل از اخذ رضایت، بیان شود.
اراده آزاد، عدم توازن قدرت و رضایت «مشکوک»:
در برخی موقعیتها که نگرانی ذاتی مبنی بر «مشکوک» بودن رضایت وجود دارد (مانند رضایت داده شده در وضعیتی که عدم توازن قدرت آشکاری بین درخواستکننده رضایت و فرد صاحب داده وجود دارد) – بار اثبات اینکه رضایت به تعرض به حریم خصوصی از روی اراده آزاد داده شده است، ممکن است بر عهده درخواستکننده رضایت باشد. برای بررسی اینکه آیا رضایت از روی انتخاب و اراده آزاد داده شده است، از جمله موارد زیر بررسی خواهد شد:
شرایط رضایت.
زمان رضایت.
نحوه ارائه درخواست رضایت (از جمله استفاده درخواستکننده اطلاعات از «الگوهای تاریک» و ابزارهای طراحی که برای دشوار کردن درک معنای رضایت و پیامدهای آن برای فرد صاحب داده طراحی شدهاند).
نحوه اخذ رضایت (صریح یا ضمنی؛ فعالانه یا منفعلانه).
هویت طرفین و روابط قدرت آنها
در موارد رضایت مشکوک، درخواستکننده رضایت ممکن است اقدامات مختلفی را انجام دهد – مانند ارائه یک جایگزین معقول یا عدم تبدیل رضایت به جمعآوری اطلاعات غیرضروری به عنوان شرط دریافت سرویس – برای اثبات اینکه رضایت بیانگر اراده آزاد و انتخاب واقعی فرد صاحب داده است. وجود یک جایگزین دیگر در دسترس فرد صاحب داده از سوی سایر نهادهایی که خدمات مشابهی ارائه میدهند نیز میتواند پاسخی کافی به ادعای عدم آزادی رضایت فرد صاحب داده تلقی شود.
نحوه اخذ رضایت:
نحوه اخذ رضایت ممکن است بر اعتبار آن تأثیر بگذارد. حتی در مواردی که اتکا به رضایت ضمنی امکانپذیر است، توصیه میشود در صورت امکان، برای رضایت صریح با فرد تماس گرفته شود، به ویژه در موارد جمعآوری دادههای حساس یا اقداماتی که ممکن است منجر به تعرض شدید به حریم خصوصی شود.
به عنوان یک قاعده کلی، سکوت فرد یا عدم اعتراض او به جمعآوری اطلاعات مربوط به خود، به خودی خود رضایت معتبر تحت قوانین حفاظت از حریم خصوصی محسوب نمیشود. دادن رضایت شفاهی امری است که نیاز به اثبات دارد و بنابراین توصیه میشود درخواستکننده رضایت آن را با وسایلی که قابل ارائه باشد، مستند کند، به ویژه در موارد جمعآوری دادههای حساس یا در شرایطی که عدم توازن قدرت بین طرفین وجود دارد.
به عنوان یک قاعده کلی، رضایت میتواند فعالانه (Opt-in) یا منفعلانه (Opt-out) داده شود، بسته به شرایط. با این حال، مرجع روشن میسازد که در مواردی که توافق شامل بندهایی برای رضایت به استفاده از اطلاعات شخصی برای اهداف «پروفایلسازی» است که برای هدف یک معامله بین طرفین با عدم توازن قدرت، لازم یا مستقیماً مرتبط نیست – رضایت منفعلانه کافی نیست و رضایت باید از طریق یک مکانیزم رضایت فعال جداگانه (Opt-in) اخذ شود.
تعرض به حریم خصوصی بدون رضایت – اتکا به دفاعیات:
مرجع روشن میسازد که نهادی که بدون رضایت فرد به حریم خصوصی او تعرض میکند و قصد دارد برای این منظور به مفاد بخش ۱۸ (۲) قانون اتکا کند، باید شرط تناسب (بخش ۲۰ (ب) قانون) را برآورده کند. این شامل توانایی اشاره به دلایل و منافع مشروعی است که به نظر آن، تعرض به حریم خصوصی فرد صاحب داده را توجیه میکند، و در غیر این صورت، ممکن است تلقی شود که «به طور آگاهانه به حریم خصوصی بیش از حد لازم معقول» برای منافع محافظت شده توسط بخش ۱۸ تعرض کرده و بدخواهانه عمل کرده است.
لغو رضایت:
در مواردی که اطلاعات شخصی بر اساس رضایت قانونی اخذ شده استفاده میشود و فرد صاحب داده مایل به لغو رضایت خود و توقف استفاده از اطلاعات مربوط به خود است، این درخواست باید مورد توجه مطلوب قرار گیرد، حتی در مواردی که رضایت از ابتدا غیرقابل فسخ نباشد، و به ویژه در موقعیتهایی که استفاده مداوم از اطلاعات به شدت به حریم خصوصی درخواستکننده آسیب میرساند.
این افشای موضع همچنین خاطرنشان میکند که اجرای اقدامات مختلف برای تقویت فرآیند رضایت – مانند ترجیح رضایت صریح بر ضمنی؛ استفاده از مکانیزم رضایت فعال (در مقابل منفعل)؛ و استفاده از ابزارهای فناوری و طراحی برای سادهسازی و قابل دسترس کردن الزام رضایت و اطلاعات همراه آن (در مواردی که این اقدامات از نظر قانونی الزامی نیستند) – به کنترلکننده اجازه میدهد تا نشان دهد که رضایت دریافتی به طور قانونی اخذ شده است.
